web-dev-qa-db-ja.com

情報保持者がユーザーにパスワードを電子メールで送信することは悪い考えですか?

私が登録しているいくつかのWebサイトには、一定期間操作がなかったため、まだ登録されていることを通知する電子メールが送信されてきました。いずれの場合も、その電子メールには私のパスワードが含まれています。

これは悪い考えですか?

私の考えは、そうです、それは、

  1. 彼らが私に私のパスワードを送信できる場合、それは彼らが暗号化せずにそれを保存していることを意味しますか?
  2. このような電子メールは私の非アクティブな状態が原因で送信されたと考えられるので、その電子メールアカウントを使用しなくなった可能性があります。
  3. ユーザーは複数のサイトで同じパスワードを頻繁に使用します。電子メールが本質的に安全でない場合、この方法で1つのサイトからパスワードを明らかにすると、他のサイトのユーザーのアカウントが危険にさらされる可能性があります。
authenticationpasswordsemail
22
Steve Melnikoff

  1. それらはそれをプレーンテキストで保存している(可能性が高い)か、または可逆暗号化を使用しています。したがって、侵害された場合、パスワードが危険にさらされます。

  2. はい、それはさらに悪いことです。Hotmailなどの一部の電子メールプロバイダーは、非アクティブな電子メールアカウントを削除し、他の人がそれを登録できるようにします。 Twitterの上級管理職は成功しました 古いHotmailアカウントを再登録することにより攻撃されました

  3. はい正解。それらのメールの1つで明らかにされた再利用されたパスワードは、言及されたTwitter攻撃において重要な役割を果たしました。

30
Hendrik Brummermann

Hendrikは一連のすばらしい問題を提供してきました。さらに、サービスオペレーターがリマインダーボットのMUAからローカルMTAにメールを送信するためにTLSを使用してSMTPを使用する場合でも、保証なし、知る方法がないコンテンツがすべて暗号化されたままかどうかMDAとMUAへの道。つまり、メールを正しく受信した場合でも、パスワードが誰かに表示される可能性があります。

[余談ですが、mailmanは注目を浴びるメーリングリストマネージャーであり、この危険なプロセスを踏襲しています。また、OWASPメーリングリストで使用されているメーリングリストマネージャーは何でしょうか。 :-(]

5
user185